?

Sep 17 2016

哈勃發布七月威脅情報:Gh0st后門木馬變種肆虐

首頁 » 業界見聞 » 哈勃發布七月威脅情報:Gh0st后門木馬變種肆虐   

哈勃發布七月威脅情報:Gh0st后門木馬變種肆虐

近日,騰訊安全聯合實驗室之反病毒實驗室旗下的哈勃分析系統,發布《七月威脅情報態勢報告——Gh0st惡意網絡協議篇》(以下簡稱《報告》)。《報告》指出,哈勃分析系統對7月捕獲到的威脅情報進行協議解析發現,Gh0st是按惡意網絡協議分類后比較活躍的木馬,該木馬變種較多,比較活躍的是原始版本和“KrisR”變種版本。不同變種會傾向于使用不同的C&C服務器域名,且以動態域名為主。1.png

 

(Gh0st木馬趨勢變化圖)

 
  《報告》數據顯示,Gh0st及其各類變種木馬是七月活躍較為明顯的一類木馬,且在上旬活躍度達到峰值。據了解,Gh0st木馬能夠竊取用戶電腦中的各類信息,是有名的后門類木馬之一,在2008年該木馬作者主動公布了其源代碼,導致眾多不法分子基于此代碼修改開發了不同的變種木馬。目前已有多個版本的Gh0st木馬代碼在網上流傳,變種眾多、網絡協議格式不穩定也成了Gh0st木馬的一大特征。
 
  哈勃分析系統通過研究發現,這些木馬主要從源代碼中協議的Magic字符串、類型標識對應的數值以及數據結構中的字段和含義等三個方面進行修改。其中,協議的Magic字符串是不法分子制作變種木馬時最常被修改的位置。《報告》指出,Gh0st木馬的一些網絡協議用到了Magic字符串,而默認的字符串即是木馬的名稱“Gh0st”,并且大部分變種使用的Magic字符串保留了與“Gh0st”相同的長度,或是在此基礎上重復2次或者3次,少部分變種直接使用了與原Magic字符串完全不同的字符串。《報告》顯示,原始版本的“Gh0st”、重復版本“Gh0stGh0st”以及“KrisR”變種版本是較為活躍的木馬,三者占比達到88.65%。
2.png

 

(Gh0st木馬與Magic字符串分布圖)

 
  此外,哈勃分析系統通過對木馬連接C&C服務器時使用的域名進行分析發現,域名有按Magic字符串聚集的趨勢,使用不同Magic字符串的變種,也會同時更換不同的服務器域名。此外,Gh0st及變種木馬還大量使用了動態域名來定位C&C服務器。

3.png

 

 (Gh0stGh0st木馬C&C服務器域名熱度分布圖)
3.png
 
(KrisR木馬C&C服務器域名熱度分布圖)
 
  騰訊反病毒實驗室哈勃分析系統建議用戶,下載和使用軟件始終從正規網站或官方網站,不要輕信小型網站、網盤分享的文件以及群、論壇等社交渠道推薦的軟件。對于不放心的軟件,可以使用哈勃分析系統對其進行檢測,如果發現風險,建議安裝騰訊電腦管家等安全類軟件,并保持其處于運行狀態。同時可以配合使用一些防火墻類軟件,對于符合已知的惡意網絡協議特征的網絡數據包進行監控和攔截。

 

 

如果您喜歡本博客,歡迎點擊圖片定訂閱到郵箱填寫您的郵件地址,訂閱我們的精彩內容:

正文部分到此結束

文章標簽: ghost木馬

版權聲明:若無特殊注明,本文皆為( mOon )原創,轉載請保留文章出處。

也許喜歡: «660萬明文密碼泄露,知名廣告公司Clixsence被黑客端了個底朝天 | 關于Python漏洞挖掘那些不得不提的事兒»

你腫么看?

你還可以輸入 250/250 個字

? 微笑 大笑 拽 大哭 親親 流汗 噴血 奸笑 囧 不爽 暈 示愛 害羞 吃驚 驚嘆 愛你 嚇死了 呵呵

評論信息框

這篇文章還沒有收到評論,趕緊來搶沙發吧~

?
?
河北11选5开奖